標的型攻撃メールの傾向と事例分析

標的型攻撃メールの傾向と事例分析
2015/ 09
独立行政法人情報処理推進機構（IPA）
技術本部セキュリティセンター
情報セキュリティ技術ラボラトリー
Copyright © 2015 独立行政法人情報処理推進機構
1.
2.
3.
4.
標的型サイバー攻撃への取り組み
標的型攻撃メールの見分け方
添付ファイルの見分け方
標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人情報処理推進機構
1
1.
2.
3.
4.
標的型サイバー攻撃への取り組み
標的型攻撃メールの見分け方
添付ファイルの見分け方
標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人情報処理推進機構
2
1.1 標的型サイバー攻撃に対する取り組み
「サイバーセキュリティと経済研究会」(経産省) 2010/12～
での検討政策を受けて展開
組織間メールを窃
取、ウイルス添付
Lurid/Nitro
国内の政府機関への
標的型メールの観測
APT1
Titan Rain
Stuxnet
演依頼、医療費通知、
重工政府機関への攻撃
Op.DeputyDog
被害
Luckycat
Op.Hydra
発覚
Op. Aurora
PittyTiger
APT12
やりとり型、取材・講
RSA
Xmas、謹賀新年・・・
CVE-2012-0158
APT17
標的型攻撃が深刻な脅威に
2003
~
2005 ~
2009
2010
2011
2012
2014
2013
Poison Ivy
PlugX
Emdivi
●2010/12 METI 「ｻｲﾊﾞｰｾｷｭﾘﾃｨと経済研究会」
システム設計＊１）
「脅威と対策
研究会」
2010/12
2011/8
設計Guide v1
2013/8
設計Guide v3
2014/9
設計Guide v4
2011/10
早期対応
＊２）
情報共有＊３）
Copyright © 2015 独立行政法人情報処理推進機構
▼分析ﾚﾎﾟｰﾄ ▼分析ﾚﾎﾟｰﾄ
「標的型サイバー
攻撃特別相談窓口」▲分析ﾚﾎﾟｰﾄ
ﾚｽｷｭｰ試行
サイバー
ﾚｽｷｭｰ隊
J-CRAT」
５業界の情報共有体制
「情報共有
J-CSIP」 2012/4
*1)http://www.ipa.go.jp/about/press/20130829.html
*2)http://www.ipa.go.jp/about/technicalwatch/20140130.htm
*3)http://www.ipa.go.jp/about/press/20140530.html
3
1.2 サイバーレスキュー隊（J-CRAT）
～活動概要 Since 2014～
標的型サイバー攻撃に対する初動の遅れは、長期的な被害となります。（APT）
攻撃や被害の把握、対策の早期着手のため、情報収集と、組織の支援を行っています。
J-CSIP
独法連絡会
情報提供
技術連携
サイバーレスキュー隊 (J-CRAT)
サイバーレスキュー活動
公的機関
業界団体、
社団・財団
JPCERT/CC
情報提供
支援相談
着手アプローチ
支援内容
ケース１
解析
標的型サイバー攻撃
特別相談窓口
攻撃・被害
の把握
エスカレーション
情報発信
ケース２
レスキュー支援
重要産業
関連企業
Web検索
サイト巡回
公開情報情報収集
公開情報の
分析・収集
ケース３
攻撃・被害
の可視化
助言
エスカレーション
ケース1：標的型サイバー攻撃特別相談窓口に寄せられた支援対象組織からの相談
ケース2：受付した相談から、連鎖的な被害（の可能性のある）組織が推定された場合
ケース3：公開情報の分析、収集により被害（の可能性のある）組織が推定された場合
Copyright © 2015 独立行政法人情報処理推進機構
4
重要産業
取引先
1.4 標的型サイバー攻撃の連鎖
～標的型サイバー攻撃の連鎖（チェーン）の実態～
・標的型攻撃は、様々な攻撃形態をとるため多層防御が重要です。
組織内での、多層防御（入口、出口、内部、統括管理）だけでなく、
- 組織をまたがった攻撃に対しては、攻撃の連鎖(チェーン)を上流で断つことが重要となります。
- 攻撃連鎖の遮断は日本のシステムにおける多層防御の一つとなります。
凡例
① 直接攻撃
② ある組織から上流の組織への攻撃
③ ある組織から傘下の組織への攻撃
④ ある組織と関連する組織への攻撃
国
攻撃者
①
②
①
③
官公庁
公的機関
③
WeekPointと
して狙われる
取引先企業／組織
Copyright © 2015 独立行政法人情報処理推進機構
③
攻撃者
①
業界団体
（社団、財団）
④
5
1.5 デモンストレーション
～標的型攻撃メールの添付を開いたら～
デモでは、レジストリを表示して確認
していますが、レジストリを誤って操
作する可能性がありますのでご注意く
ださい。
また、かならずこの確認方法でチェッ
クできるとは限りません。
詳細は、2013年のテクニカルウオッ
チをご覧ください。
独立行政法人情報処理推進機構(IPA)
標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
標的型攻撃メールの傾向と事例分析＜2013年＞
～ますます巧妙化、高度化する国内組織への標的型攻撃メールの手口～
http://www.ipa.go.jp/security/technicalwatch/20140130.html
Copyright © 2015 独立行政法人情報処理推進機構
6
1.
2.
3.
4.
標的型サイバー攻撃への取り組み
標的型攻撃メールの見分け方
添付ファイルの見分け方
標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人情報処理推進機構
7
2.1 標的型攻撃メールの例と見分け方
～テクニカルウオッチ～
情報提供いただいた標的型攻撃メールの調査・分析を行い2015年1月9日にレポートを公開しました
https://www.ipa.go.jp/security/technicalwatch/20150109.html
Copyright © 2015 独立行政法人情報処理推進機構
8
2.2 標的型サイバー攻撃分析レポート
～その他のテクニカルウオッチ～
情報提供いただいた標的型攻撃メールの調査・分析内容を公開し、特徴や傾向の把握に役立てて
いただいています。
http://www.ipa.go.jp/about/technicalwatch/20111003.html
Copyright © 2015 独立行政法人情報処理推進機構
http://www.ipa.go.jp/about/technicalwatch/20121030.html
http://www.ipa.go.jp/security/technicalwatch/20140130.html
9
2.3 標的型攻撃メールの例と見分け方
主な初出の出来事
2005
初観測（実在の外務省職員を詐称、Word文書、複数の官公庁宛）
2006
新聞社を詐称、民間大手企業宛、一太郎文書、実行形式ファイル
2007
未修正の脆弱性を悪用（ゼロデイ）、PDF文書
2008
標的型攻撃メールに関する組織内注意喚起メールを加工
2009
新型インフルエンザ関連情報に偽装、添付ファイルのないメール
2010
［海外］Stuxnetによるイランの核施設攻撃
2011
東日本大震災・原発事故関連情報に偽装、やりとり型、Mac OS X
2012
［海外］水飲み場攻撃
2013
lnk（ショートカット）ファイル
2014
現在は、フリーメールアドレス利用・添付ファイル型が主流
Copyright © 2015 独立行政法人情報処理推進機構
10
2.3 標的型攻撃メールの例と見分け方
着眼点
（ア）
テーマ
これまで検知された標的型攻撃メールの特徴
①知らない人からのメールだが、開封せざるを得ない内容
例１：新聞社・出版社からの取材申込・講演依頼
例２：就職活動に関する問合せ・履歴書の送付
例３：製品やサービスに対する問い合わせ・クレーム
例４：アンケート調査
例５：やり取り型メール
②誤って自分宛に送られたメールの様だが、興味をそそられる内容
例１：議事録・演説原稿などの内部文書送付
例２： VIP訪問に関する情報
③これまで届いたことがない、公的機関からのお知らせ
例１：情報セキュリティに関する注意喚起
例２：インフルエンザ流行情報
例３：災害情報
https://www.ipa.go.jp/security/technicalwatch/20150109.html
Copyright © 2015 独立行政法人情報処理推進機構
11
2.4 標的型攻撃メールの例と見分け方
着眼点
（イ）
送信者
これまで検知された標的型攻撃メールの特徴
①フリーメールアドレスからの送信
②送信者のメールアドレスが署名（シグネチャ）と異なる
①言い回しが不自然な日本語
②日本語では使用されない漢字（繁体字、簡体字）
（ウ）
メール本文
③正式名称を一部に含むような不審URL
④HTMLメールで、表示と実際のURLが異なるリンク
⑤署名の記載内容がおかしい、該当部門が存在しない
https://www.ipa.go.jp/security/technicalwatch/20150109.html
Copyright © 2015 独立行政法人情報処理推進機構
12
2.5 標的型攻撃メールの例と見分け方
着眼点
これまで検知された標的型攻撃メールの特徴
①添付ファイルがある
②実行形式ファイル（exe / scr / jar / cpl など）
③ショートカットファイル（lnk / pif / url）
（エ）
添付ファイル
④実行形式ファイルなのに文書ファイルやフォルダのアイコン
⑤ファイル名が不審
例１：二重拡張子
例２：ファイル拡張子の前に大量の空白文字を挿入
例３：文字列を左右反転するRLOコードの利用
例４：エクスプローラで圧縮ファイルの内容を表示すると
ファイル名が文字化け
事務連絡cod.scr
ここにRLO文字を挿入する
と、次のような見た目になる。
事務連絡rcs.doc
RLO: Right-to-Left Override
アラビア語やヘブライ語などをパソコンで使
うための特殊な文字（表示はされない）
https://www.ipa.go.jp/security/technicalwatch/20150109.html
Copyright © 2015 独立行政法人情報処理推進機構
13
実際の標的型攻撃メールの例
～いわゆるやりとり型～
Copyright © 2015 独立行政法人情報処理推進機構
14
2.6 標的型攻撃メールの例と見分け方
～取材依頼を装った標的型～
【イ－①】
【ア－①】
【エ－①】
【ウ－①】
Copyright © 2015 独立行政法人情報処理推進機構
15
実際の標的型攻撃メールの例
～講演依頼を装った標的型～
 特徴
○○様と呼びかけが入る
講演の依頼を装っている
送付先に関係ありそうなテー
マ
Copyright © 2015 独立行政法人情報処理推進機構
16
2.7 標的型攻撃メールの例と見分け方
～就職を装った標的型～
【イ－①】
【ア－①】
【エ－①】
【イ－②】
Copyright © 2015 独立行政法人情報処理推進機構
17
2.8 標的型攻撃メールの例と見分け方
～製品・サービスに関する問合せを装った標的型～
【イ－①】
【ア－①】
【エ－①】、【エ－②】
Copyright © 2015 独立行政法人情報処理推進機構
【イ－②】
18
2.9 標的型攻撃メールの例と見分け方
～情報セキュリティに関する注意喚起を装った標的型～
【イ－①】
【ア－③】
【ウ－③】、【ウ－④】
実際にクリックした際に表示
されるウェブページのURL
Copyright © 2015 独立行政法人情報処理推進機構
19
実際の標的型攻撃メールの例
～情報セキュリティに関する注意喚起を装った標的型～
一見、IPAからの注意喚起に見え
るが
 特徴
実際は、、
フリーメールアドレスから送られて
いる
実際にIPAから提供された注
意喚起文を引用している
フリーメールアドレスを利用
表示上のリンク先は問題なさ
そうに見えるが実際のリンク
先は危険なURL
表示されたリンク先と実際のリンク先が
異なる(.xxが追加されている)
Copyright © 2015 独立行政法人情報処理推進機構
20
2.10 標的型攻撃メールの例と見分け方
～心当たりのない決済・配送通知を装った標的型～
【イ－①】
【ア－⑤】
【エ－①】
【ウ－⑤】
Copyright © 2015 独立行政法人情報処理推進機構
21
実際の標的型攻撃メール類似例
～Invoice/Purchase Order～
想定目的
・ダウンローダー、zbot → Banking Trojan, FakeAVなど金銭を目的した攻撃
・送信先（ターゲット）のプロファイリング：開封容易性、PC設定、キーロガー＝高度な標的型攻撃と類似
類似の攻撃パターン
・SMS, MMS, VoiceMail, eFAX
・年賀状、クリスマスカード
Copyright © 2015 独立行政法人情報処理推進機構
22
2.11 標的型攻撃メールの例と見分け方
～IDやパスワードの入力を要求する標的型～
【ア－⑥】
Copyright © 2015 独立行政法人情報処理推進機構
23
2.12 標的型攻撃メールの例と見分け方
～データエントリー型フィッシング～
窃取されたメールアカ
ウントの認証情報は、
SPAMメールの踏み台や、
標的型攻撃メールの素
材収集に利用される恐
れも。
【ア－⑥】
【ウ－①】
Copyright © 2015 独立行政法人情報処理推進機構
24
1.
2.
3.
4.
標的型サイバー攻撃への取り組み
標的型攻撃メールの見分け方
添付ファイルの見分け方
標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人情報処理推進機構
25
3.1 添付ファイルの例
ファイルの詳細を必ず見る
アイコン上は文書ファイルの様に見えるが…
ショートカットであることを示す「矢印のマーク」
エクスプローラの詳細表示で見ると…
コマンドプロンプトで表示すると…
ショートカットであることがわかる
ショートカットの拡張子
Copyright © 2015 独立行政法人情報処理推進機構
26
3.2 添付ファイルの例
ファイルの詳細を必ず見る
エクスプローラで見ると…
実行ファイル（exe）であることがわかる。
また、アイコン偽装されていても、アイコンが表示さ
れないため騙されにくい。
Copyright © 2015 独立行政法人情報処理推進機構
27
3.3 添付ファイルの例
拡張子偽装に注意
拡張子を表示し
ないと見えない
「RLO」による拡
張子偽装
実際のファイル名
実際のファイル名
Copyright © 2015 独立行政法人情報処理推進機構
28
3.4 添付ファイルの例
アイコン偽装に注意
• 実行ファイル（ウイルス）のアイコンは何にでも
偽装できる
• 単純な罠だがそれでも引っかかってしまう人が
いる
アイコンや拡張子を信用しない！
（「ファイルの種別」を表示して確認する）
Copyright © 2015 独立行政法人情報処理推進機構
29
1.
2.
3.
4.
標的型サイバー攻撃への取り組み
標的型攻撃メールの見分け方
添付ファイルの見分け方
標的型攻撃メールを見つけたら
Copyright © 2015 独立行政法人情報処理推進機構
30
4.1 標的型攻撃メールの対応
不審メールに気付いた時の対応
・組織内の情報集約窓口（情報システム担当部門など）に連絡
・標的型攻撃メールかどうか判らない場合は、以下へ連絡を
独立行政法人情報処理推進機構(IPA)
標的型サイバー攻撃特別相談窓口
https://www.ipa.go.jp/security/tokubetsu/
Copyright © 2015 独立行政法人情報処理推進機構
31
4.2 標的型攻撃メールの対応
添付ファイルを開いたり、不審なURLにアクセスした場合の対応
・標的型攻撃メールの添付ファイル実行、不審ＵＲＬアクセス
→ パソコンがウィルスに感染した可能性
・緒論あるが、ネットワークからの切り離し（被害拡大の防止）
・不審メールを受信したパソコンの初期化は一考を
→ 初期化すると感染機器や流出情報の特定が困難に
① 証拠保全と業務復旧の両面から対応の決定を
② フォレンジック専門のセキュリティベンダーに相談を
・どうしてよいか判らない場合は、とりあえずＩＰＡに相談を
Copyright © 2015 独立行政法人情報処理推進機構
32
4.3 標的型攻撃メールの対応
情報共有へのお願い（ Information Sharing ）
・標的型サイバー攻撃情報は局所的である
・被害の抑止や拡大防止は、局所的な情報を共有し活用するこ
とが最善の策である。
情報提供にご協力ください！！
今回のために専用のメールアドレ
スを作成しました！
・情報提供いただきたいもの
① まずは転送メール形式
[email protected]
② メールヘッダ情報
・eml形式、msg形式、「ヘッダを表示」で出るテキスト
③ 同件有無の確認
・メールサーバログの確認（From, Received, Date）
・操作がよくわからない場合は、ＩＰＡに相談を
Copyright © 2015 独立行政法人情報処理推進機構
33
4.4情報提供が標的型サイバー攻撃対策
～サイバー空間利用者みんなの力をあわせて対抗力を～
標的型攻撃メールかな？と思ったら・・・
・不審な日本語
・差出人とメールアドレスが不審
・不審な添付ファイルやリンク
?
各所属での連絡に加えて
IPAへご相談ください！
http://www.ipa.go.jp/security/tokubetsu/
標的型サイバー攻撃特別相談窓口
電話
03-5978-7599
(対応は、平日の10:00～12:00 および13:30～17:00)
E-mail
[email protected]
※このメールアドレスに特定電子メールを送信しないでください。
Copyright © 2015 独立行政法人情報処理推進機構
34
Windows Server 2003のサポート終了に伴う注意喚起
Windows Server 2003のサポートが2015年7月15日に終了しました。
サポート終了後は修正プログラムが提供されなくなり、脆弱性を悪用した攻撃が
成功する可能性が高まります。
周辺ソフトウェアもサポートが順次終了していくため、あわせて対策が必要です。
サポートが継続しているOSへの移行検討とOS移行に伴う周辺ソフトウェアの
影響調査や改修等について迅速な対応をお願いします。
業務システム・サービスの停止・破壊
重要な情報の漏えい
データ消去
ホームページの改ざん
脆弱性が
脆弱性を
未解決なサーバ
悪用した攻撃
他のシステムへの攻撃に悪用
会社の事業に悪影響を及ぼす被害を受ける可能性があります
詳しくは
IPA win2003
検索
なおWindowsXPを利用されている方はサポートが継続しているOSへの移行検討をお願いします
Copyright © 2015 独立行政法人情報処理推進機構
35
ITパスポート公式キャラクター
上峰亜衣（うえみねあい）
【プロフィール：マンガ】 https://www3.jitec.ipa.go.jp/JitesCbt/html/uemine/profile.html
「ｉパス」は、ITを利活用するすべての社会人・学生が備えておくべき
ITに関する基礎的な知識が証明できる国家試験です。
Copyright © 2015 独立行政法人情報処理推進機構

Download Report